Привет, Хабр! Представляем вашему вниманию перевод статьи " Полномасштабный подход к измерению и представлению эффективности визуализации безопасности ".
От автора перевода Визуализация оказывает неоценимую помощь экспертам в получении выводов и знаний об объекте исследования, особенно если такие исследования предполагают обработку большого количества данных.
При этом выбор методов визуализации, как правило, носит творческий характер и не является разумным выбором, основанным на каких-либо количественных оценках.
В статье предпринята попытка получить количественные оценки визуализации.
Кроме того, следует отметить, что вопросам исследования визуализации в русскоязычных источниках уделяется мало внимания.
Исследование, описанное в статье, находится на стыке нескольких областей знаний: информационной безопасности, психологии, науки о данных, что позволяет читателю познакомиться с ранее неизвестными темами.
Также представляет интерес обширная библиография по теме исследований визуализации.
Основные термины, использованные в тексте статьи, выделены курсивом, а в скобках указано значение иностранного термина.
Определения таких терминов даны после текста статьи.
аннотация Что делает визуальное представление событий безопасности эффективным? Как мы можем измерить эффективность визуализации в контексте изучения, анализа и понимания отчетов об инцидентах информационной безопасности? Обнаружение и понимание компьютерных атак имеют решающее значение для принятия решений не только на техническом уровне, но и на уровне управления политикой безопасности.
Наше исследование охватывает обе проблемы, что позволяет нам дополнить нашу систему/платформу оценки производительности визуализации событий безопасности (SvEm), предоставляя комплексный подход к оценке производительности как для теоретических, так и для ориентированных на пользователя методов визуализации.
Благодаря использованию интерактивной 3D-визуализации наша платформа SvEm позволяет повысить эффективность совместной работы как одного, так и нескольких пользователей.
Показатели эффективности, такие как визуальная ясность (визуальная четкость), видимость (видимость), уровень искажений (скорость искажения) и время реакции пользователя (просмотра).
Ключевыми компонентами платформы SvEm являются:
- размер и разрешение дисплея мобильного устройства;
- сущность (субъект) инциденты безопасности;
- когнитивные активаторы (активаторы познания) уведомления пользователей;
- система оценки угроз;
- нагрузка на рабочую память (загрузка рабочей памяти);
- Управление цветом.
Наконец, визуализация SvEm направлена на улучшение концентрация (продолжительность внимания) пользователей, обеспечивая постоянное когнитивная нагрузка (когнитивная нагрузка) при повышении нагрузка на рабочую память наблюдатель.
В свою очередь, визуализация событий безопасности предоставляет пользователю возможность идеи (понимание) о состоянии информационной безопасности.
Наша оценка показывает, что наблюдатели работают лучше, имея предварительные знания ( нагрузка на рабочую память ) о событиях безопасности, а также о том, что 360-градусная визуализация лучше привлекает и поддерживает концентрация пользователь.
Эти результаты позволили нам определить направления будущих исследований, связанных с оценкой эффективности визуализации событий безопасности.
Оглавление 1. Введение 2 Предыстория и область исследований 3 Связанные работы 3.1 Методы оценки визуального представления информации 3.2 Метод оценки: ранжирование визуальных представлений корреляций 3.3 Методы графического представления 3.4 Ошибки восприятия при визуализации 3.5 Концепции познания, восприятия и понимания в визуализации 4 Схема платформы СвЭм 4.1 Архитектура серверной части системы 4.2 Технические аспекты визуализации событий безопасности 4.3 Сущности, отношения и пространства инцидентов безопасности 4.4 Стандарт цвета визуализации безопасности 4.5 Когнитивные требования к визуализации безопасности Результатов: 5: Платформа визуализации безопасности 5.1 Теория СвЭм 5.2 Процесс обработки 5.3 Пример 1: Приложение для совместной работы с визуализацией событий безопасности в реальном времени 5.4 Пример 2: Визуализация программы-вымогателя Locky 5.5 Пример 3. Эффективное взаимодействие с визуализацией дополненной реальности 5.6 Масштабирование визуализации в соответствии с размерами дисплея 6 Оценка и тестирование платформы SvEm 6.1 Концептуальная модель СвЭм 6.2 Тестирование производительности платформы SvEm 6.3 Оценка пользователя SvEm 6.4 Оценка когнитивной нагрузки 6.5 Система обнаружения угроз 7 Заключение 8 Спасибо 9 Ссылки на использованные источники 1. Введение Визуализации безопасности полезны для понимания состояния безопасности, но насколько они эффективны? Помогает ли визуализация принять решение в критической ситуации или просто отвлекает внимание? Данное исследование дает основу для оценки эффективности и развития визуальных представлений в сфере информационной безопасности.
Наше основное внимание уделяется улучшению платформы SvEm. [11] путем проведения комплексной оценки эффективности визуального представления событий безопасности на каждом этапе восприятия визуализации.
Предполагается, что читатель уже имеет представление о визуализации в области информационной безопасности.
Мы решаем проблемы производительности процессов обработки данных, визуальная ясность , а также удобное использование пользователем интерактивных функций с данными.
Измерение эффективности визуализации событий безопасности требует комплексной оценки как веб-платформ, так и мобильных платформ, а также времени реакции пользователей при взаимодействии с ними.
Когда пользователь взаимодействует с каким-либо визуальным представлением события безопасности, нас интересует, во-первых, понимание того, как визуализация может наиболее быстро привлечь внимание пользователя, а во-вторых, как мы можем измерить объем внимания пользователя.
.
Для этого необходим мониторинг эффективности.
когнитивная нагрузка пользователь и нагрузка на его рабочую память .
Визуализация наиболее эффективна, когда когнитивная нагрузка уменьшается и нагрузка на рабочую память растет. 2 Предыстория и область исследований В большинстве исследований, посвященных платформам визуализации и пользовательским интерфейсам, концепция повышения эффективности означает повышение производительности за счет сокращения времени для достижения значимых результатов.
В статье для разработанной нами платформы понятие «эффективность» связано с визуализацией событий безопасности как целостным и комплексным подходом, призванным максимально упростить восприятие важной информации в результате взаимодействия с пользователем.
с визуализацией.
В этой статье мы измеряем эффективность всего процесса визуализации безопасности: как процесса графического отображения, так и процесса взаимодействия с пользователем.
Мы также считаем, что визуализация событий безопасности облегчает автоматический анализ данных, извлекая полезную информацию из необработанных данных о событиях безопасности (сетевых атаках).
Визуальные представления событий безопасности четко и динамично показывают инциденты безопасности пользователей, а также связи между инцидентами.
[14] .
Интерактивность вызывает у пользователя интерес к выполнению необходимых взаимодействий с визуализациями для формирования представления о пространстве для компьютерных атак.
Визуализация также упрощает обработку больших объемов данных и визуализацию тенденций и закономерностей.
Однако существуют проблемы, связанные с представлением и производительностью информации, поэтому целью данной статьи является измерение эффективности процессов визуализации событий безопасности.
Наше исследование обеспечивает связь между когнитивными знаниями пользователей и платформой измерения эффективности визуализации безопасности (SvEm).
[11] .
Наш подход к измерению эффективности охватывает планирование, проектирование, внедрение, оценку, проверку и взаимодействие с пользователем (целевой аудиторией).
В следующем разделе мы рассмотрим существующие исследования по измерению эффективности визуализации.
Затем мы обсудим результаты развития платформы СвЭм.
В заключение мы представляем направления будущих исследований.
3 Связанные работы Хотя пользователи выбирают методы визуализации исходя из своих индивидуальных предпочтений и потребностей, возникает необходимость оценить эффективность таких методов.
Современные подходы [11] , [12] , [17] , [40] использовать такие показатели, как производительность пользователя (производительность пользователя) видимость (ясность), степень качество/искажение качество/степень искажения изображения, оценка восприятия, измерение корреляции визуализации, измерение мозговой активности и качество визуализации.
Рассмотрим имеющиеся источники более подробно.
3.1 Методы оценки визуального представления информации
Большинство методов оценки учитывают только технические аспекты изображений, такие как видимость и признание.Однако наиболее предпочтительными являются визуальные представления, привлекающие наблюдателей и способные самостоятельно передать суть информации без необходимости дополнительных пояснений.
Это наиболее ожидаемый результат для большинства художников и экспертов по визуализации.
Основа, присутствующая как в визуализации, так и в пользователях, пробуждает в них когнитивные способности, запускающие механизмы эффективности.
Таким образом, для повышения эффективности необходимы некоторые методы оценки для улучшения визуализации.
3.2 Метод оценки: ранжирование визуальных представлений корреляций
Этот подход, успешно используемый на учебных занятиях по наборам данных, обычно используется для получения научных оценок производительности, прозрачности и целостности.Харрисон в [12] показал возможность применения закона Вебера [4] , [15] и закон восприятия [15] при ранжировании корреляционных визуализаций [20] .
Другие подходы рассматривают корреляцию между обучающими и лучшими наборами данных, отображаемую с помощью диаграмм рассеяния и графиков параллельных координат. [33] .
Последние психологические и когнитивные исследования [15] показал, что законы восприятия [20] может использоваться для моделирования восприятия людьми определенных свойств данных в рассматриваемой визуализации.
Ренсинк продемонстрировал использование закона Вебера.
[33] при создании модели Weber Fit [12] .
Эти исследования утверждают, что существует связь между людьми и представленными данными.
Человеческое восприятие способно различать взаимосвязи и объективные различия в коррелирующих данных.
Это утверждение выражается следующей линейной зависимостью: 
Где 
– дифференциальное изменение восприятия; 
– экспериментально полученный относительный порог (доля Вебера); 
– дифференциал возрастания корреляции данных.
Ряд статистических исследований [12] проводилось с использованием критериев ранжирования:
- Тест Крускала-Уоллиса [26] оценить связь между визуализацией и корреляциями;
- Тест Вилкоксона-Манна [16] , [29] критерий сравнения пар визуализаций;
- Поправка Бонферрони [36] решить проблему множественных сравнений и уменьшить количество ложных срабатываний.
3.3 Методы графического представления
Рис.
1. Схема платформы Е 3 Большинство устройств, подключенных к Интернету, имеют возможности ведения журнала, что обеспечивает высокоскоростной сбор данных.
Поэтому требуются специальные способы представления информации, полученной из наборов данных.
Рассмотрим в качестве примера графическую платформу для представления больших наборов данных E 3 , разработанный Люнгом К.
Я и Апперли Д.
Марком.
[24] .
Аналитическая платформа Е 3 позволяет сравнивать разные способы представления данных с учетом объема таких данных.
Основные характеристики, такие как выразительность, результативность и результативность, позволяют ранжировать точность репрезентации и перцептивные задачи.
На рис.
1 изображена схема платформы Е.
3 , в котором описываются ключевые компоненты и их взаимосвязь с этапами проектирования системы представления больших наборов данных.
3.4 Ошибки восприятия при визуализации
Другой распространенный метод измерения визуализации включает расчет частоты ошибок для измерения качества или искажения изображения.На рис.
2 показана структура проекта, включающая этапы предварительной обработки, фильтрации, разделения каналов и слияния ошибок.
Рис.
2. Схема проекта, оценивающая чувствительность к ошибкам В этой модели качество изображения оценивается показателями визуальная ясность И искажения Изображений.
Выполнение предварительной обработки и фильтрации улучшает измерения качества/искажения (которые довольно легко преобразовать из одного в другое).
3.5 Концепции познания, восприятия и понимания в визуализации
В психологии измерение эффективности визуализации основано на оценке когнитивных способностей.восприятие (восприятие), концентрация И нагрузка на рабочую память человек.
Рациональная связь между когнитивными способностями пользователя и нагрузка на оперативную память можно определить путем оценки умственное усилие (умственное усилие) (рис.
3).
Например, идеальная оценка пользователя, при которой скорость чтения высока и умственное усилие низкий, расположен в зоне А (рис.
3) [30] .
Рис.
3. Эффективность умственное усилие [30] Это также означает, что нагрузка на рабочую память пользователь высокий.
Исследования пользователей предоставили средства для оценки когнитивная нагрузка [17] , в частности методы оценки умственное усилие И производительность , которые связаны с эффективностью визуализации.
Исследовать [40] , [34] , [35] проведенное компанией InfoVis, показало возможность использования идеи как мера оценки технологии.
Понимание [40] определяется как мера точного и глубокого понимания чего-либо, т. е.
единица измерения открытия.
Инсайт часто приходит не в ходе решения специально поставленных для этого задач, а, как правило, является побочным продуктом исследования без первоначальной цели достижения инсайта.
Также важно определить идеи это процесс осмысления [32] , хотя модель информационной схемы-инсайт-продукта, используемая в этой работе, включает понимание как компонент. Обобщая результаты подобных работ, мы видим, что на оценку эффективности визуализации влияет не только технология, но и человек, использующий визуализацию.
Рассмотрев в этом разделе ключевые области, связанные с характеристиками визуализации, мы теперь имеем четкое понимание места настоящего исследования в методологии оценки изображений.
Однако наша платформа ограничена визуализацией безопасности информации, связанной с измерением эффективности оценки оперативной информации об инцидентах безопасности.
4 Схема платформы СвЭм Для реализации платформы, которая будет оценивать эффективность визуализации событий безопасности, важным шагом является этап проектирования.
Поэтому в этом разделе мы представляем дизайнерское решение нашей платформы.
Платформа оценки производительности визуализации безопасности SvEm состоит из следующих компонентов: поверхность мобильного дисплея, объекты инцидентов безопасности, события оповещения пользователей, система оценки угроз, загрузка оперативной памяти и компонент управления цветом.
Эти компоненты обсуждаются ниже.
4.1 Архитектура серверной части системы
Серверная инфраструктура платформы визуализации событий безопасности SvEm предназначена для размещения как статических, так и динамических (в реальном времени) сценариев визуализации.Он управляет всеми процессами анализа, происходящими при работе с базой данных, а также при сборке и агрегации информации.
Архитектура нашей системы построена с использованием следующих технологий: Windows Progger (инструмент ведения журнала), Redis, MongoDB, Nodejs и WebGL. Windows progger (версия Linux progger для Windows) [21] ) — это инструмент регистрации событий на уровне системы (на уровне ядра), который в настоящее время разрабатывается с упором на безопасность в компьютерных и облачных системах.
Редис [2] облегчает связь между кешем и базой данных для Windows Progger и mongoDB. Все данные постоянно хранятся в mongoDB. [3] , а узлы [39] и вебгл [5] , [31] уменьшить сложность интерфейса клиентской части платформы визуализации.
Архитектура серверной части спроектирована с учетом особенностей процесса обработки данных при управлении их хранением.
Предварительно обработанные данные создаются путем выполнения сценария рендеринга.
Например, в режиме реального времени производится запись в журнал ядра компьютерной системы с целью отслеживание И визуализация источников создание, изменение и удаление файлов.
Кроме того, данные стандартизированы, чтобы можно было оценить эффективность визуализации безопасности на веб- и мобильных платформах.
Требования к веб- и мобильным устройствам обеспечили эффективное решение проблем запроса, обработки, анализа, рендеринга и масштабирования данных с целью визуализации событий безопасности.
На рис.
4 показаны основные инструменты и библиотеки, необходимые для размещения серверной части платформы визуализации безопасности SvEm.
Рис.
4. Архитектура серверной части СвЭм При проектировании платформы необходимо учитывать множество особенностей приложения, к основным из которых также относятся безопасность, производительность обработки данных и видимость виды визуализации.
Эти задачи являются основными для нашей платформы.
4.2 Технические аспекты визуализации событий безопасности
При проектировании визуальных представлений необходимо учитывать размеры мобильного устройства.Например, ограничения дисплея в 1920 x 1080 пикселей для iPhone 6s Plus высотой 122 мм и шириной 68 мм (рис.
5) обусловливают необходимость включения элементов управления дисплеем в визуальное представление.
Рис.
5. Параметры отображения мобильного устройства.
Элементы управления включают элементы для настройки объема обрабатываемых данных, выбора метода рендеринга и типов рендеринга, которые лучше всего соответствуют размеру экрана.
Четкое понимание этих ограничений позволяет разработчикам визуализации событий безопасности учитывать возможность многомерного и/или кругового отображения.
Подобные проекты позволят учитывать большое количество атрибутов данных об инцидентах безопасности.
4.2.1 Проект визуализации отслеживание (дизайн визуализации атрибуции)
Процесс отслеживание (атрибуция) [38] в контексте информационной безопасности связан с определением источника компьютерной атаки.При визуализации событий безопасности изображение этого процесса является достаточно сложной задачей.
Необходимо иметь достаточный набор исходных данных и четкое понимание процесса.
отслеживание .
Наш проект отслеживание Целью является создание пути между источником и целями атаки.
Основное внимание уделяется выявлению источника компьютерной атаки, поскольку большинство точек траектории относятся к жертвам.
Несмотря на наш проект визуализации отслеживание , на основе данных о реальных атаках невозможно полностью визуализировать процесс отслеживание .
Поэтому мы предлагаем набор шаблонов прогнозной аналитики, которые могут соединить точки между ключевыми идентификаторами атак для отслеживания более высокого уровня посредством визуализации.
4.2.2 Дизайн визуализации происхождения
Еще одной ключевой особенностью платформы является эффективное отображение источников на основе большого объема собранных данных.Большой объем данных преобразуется в визуализацию для мобильных платформ с учетом необходимости масштабирования и ограниченности рабочей области экрана.
Наша платформа использует проекты визуализации отслеживание И источники со сводкой данных для оповещения пользователей о событиях безопасности.
Отображать источники Крайне важно, чтобы эксперты по безопасности и конечные пользователи оставались в курсе событий.
На рис.
6 представлен проект визуализации.
источники с информацией о времени, типе и источнике атаки.
Рис.
6. Проект визуализации источники для мобильного устройства Этот кольцевой дизайн направлен на то, чтобы сосредоточить внимание пользователя на предоставляемой информации и уменьшить количество переходов по вкладкам для получения дополнительной информации.
4.2.3 Типы проектов визуализации
Еще одним важным аспектом эффективности визуализации является предоставление пользователям (наблюдателям) возможности выбирать из нескольких вариантов дизайна визуализации в зависимости от их требований к просмотру отображаемых данных.Это позволяет удовлетворить потребности более широкого круга аудитории.
Наша платформа предоставляет следующие варианты визуального дизайна в качестве элементов для визуализации событий безопасности в режиме реального времени.
[6] : «Завиток (спираль)», «Сфера» и «Сетка».
Как показано на рис.
7, проект «Завиток (Спираль)» основан на гештальт-принципе/законе непрерывности.
[37] .
Рис.
7. Проект визуализации «Завиток (спираль)» Эта визуализация показывает порядок, в котором файлы и процессы выполняются в соответствии с принципом «первым пришел — первым обслужен».
Когда пользователь обращает внимание на конкретный файл, узор или какую-то группу с одинаковым поведением/цветом, он мысленно воспринимает визуальный образ, который легко понять.
Проект визуализации «Сфера» основан на гештальт-законе замкнутости/завершенности, согласно которому все воспринимается как часть целого.
На рис.
8 представлена визуализация содержимого системы (важные элементы отмечены цветом).
Рис.
8. Проект визуализации «Сфера» Этот метод прост и понятен, а визуализацию можно масштабировать в зависимости от параметров дисплея мобильного устройства.
Независимо от того, сколько файлов или процессов необходимо отобразить, сферический подход создает визуализацию, в которой все части представляют собой сумму целого.
Проект рендеринга Grid реализует многоуровневый подход рендеринга, при котором новые файлы визуально отображаются на переднем плане сетки рендеринга.
Такой дизайн привлекает внимание наблюдателей к новым интересующим файлам/процессам.
Постоянное внимание наблюдателя удерживает их в фокусе, в то же время оставляя возможность другим механизмам уведомления передать информацию наблюдателю.
На рис.
9 показан пример Grid-проекта с несколькими слоями для файлов и процессов.
Рис.
9. Проект визуализации «Сетка» Дополнительно мы предоставляем «кругослойный» проект, показанный на рис.
10. 
Рис.
10. Проект визуализации мобильного устройства-вымогателя Locky. Проект позволяет связывать несколько атрибутов и категорий разных файлов и процессов.
Эффективность в этом случае очевидна в переходах между уровнями, позволяя наблюдателям видеть и понимать, как работают разные файловые системы.
Использование подхода к построению многоуровневых визуализаций позволяет соединить как разные уровни информационной иерархии, так и информационных отношений.
4.2.4 Компоненты оценки угроз
Компонент оценки угроз, который идентифицирует и визуализирует угрозы, является еще одним важным компонентом структуры SvEm. Наша система оценки угроз (рис.11) охватывает аномалии, вредоносное ПО и специальные механизмы обнаружения.
Рис.
11. Схема механизма анализа угроз Наборы данных фильтруются с использованием тестовых/обучающих и собранных данных.
[10] и базы данных сигнатур известных угроз.
Обнаружение аномалий осуществляется в соответствии с алгоритмом, который будет рассмотрен в разделе, посвященном оценке и проверке.
Наш базовый набор данных состоит из известных (заранее обнаруженных) угроз, заполненных пользователем журналов, а также известных шаблонов угроз и моделей поведения.
Это создает лучшую среду для контроля и мониторинга.
4.3 Сущности, отношения и пространства инцидентов безопасности
4.3.1 Сущность
Сущности, отношения (отношения сущностей) и места безопасности (ландшафты безопасности) — основные рабочие компоненты нашей платформы.К сущности включают в себя: субъекты угроз, вредоносные полезные данные, скомпрометированные IP-адреса и многое другое.
Эти объекты представляют интерес для того, как работает теория измерения производительности SvEm. На производительность нашей платформы влияет способность идентифицировать эти сущности используя визуализацию за минимальное время.
4.3.2 Отношения сущностей
Отношения сущностей , также известен как ссылки (ссылки) жизненно важны для нашей платформы.Функции отношения сущностей связать сущность вместе.
Эти ссылки также активируют когнитивные функции пользователя, которые помогают ему воспринимать скрытую информацию и потенциально способствуют идеи о состоянии безопасности.
4.3.3 Помещения для инцидентов безопасности
Пространства безопасности создать зону происшествия и среду, в которой пользователи (наблюдатели) смогут сосредоточить свои мысленные образы на конкретном инциденте безопасности.Знакомое пространство помогает пользователю мысленно ограничить область своего взаимодействия с визуализацией.
4.4 Стандарт цвета визуализации безопасности
Теги: #информационная безопасность #безопасность #Визуализация данных #эффективность #психология #визуализация #научная статья #гештальт #гештальт-
Яковенко Борис Валентинович
19 Oct, 24 -
Дельбрюк, Бертольд Густав Готлиб
19 Oct, 24 -
Врачи Без Границ
19 Oct, 24
